L’Essentiel : Le phishing impose une obligation de sécurité au client, qui doit prendre des mesures raisonnables pour protéger ses dispositifs de sécurité. En cas d’utilisation frauduleuse, c’est au prestataire de prouver que l’utilisateur a agi par négligence grave. Dans une affaire récente, M. [W] a effectué des virements après avoir cliqué sur un lien dans un email suspect, malgré des incohérences évidentes. Sa négligence a conduit à des pertes financières, exonérant ainsi la banque de toute responsabilité. Cette décision souligne l’importance de la vigilance des utilisateurs face aux tentatives de phishing.

Obligation de sécurité à la charge du client

Aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

Renversement de la charge de la preuve

Cependant, c’est à ce prestataire qu’il appartient en application des articles L.133-19 IV et L. 133-23 du même code de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations.

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Virements par négligence

Il est acquis en l’espèce que les deux virements litigieux de 3 000 euros ont été réalisés les 14 et 15 avril 2020 au bénéfice de [Z] [S] [X]. Il n’est pas contesté que M. [W] a été destinataire, le 12 avril 2020, d’un mail provenant prétendument de LA BANQUE POSTALE.

Si M. [W] ne produit qu’une copie écran de ce mail, il convient de noter que certains éléments auraient dû l’alerter, notamment le nom de domaine singulier ([Courriel 6]), l’incohérence de l’objet du mail (mise à jour annuelle du numéro de portable pour sécuriser son accès en ligne), le signataire du mail (Président du Conseil de Surveillance : [N] [J]) et les mentions singulières au bas du mail (Registre du commerce Tribunal de district de paris HRB 83351 / Numéro de TVA : DE 811 285 485; Numéro d’identification fiscale du titulaire de la taxe de vente : DE 911 623 326).

Néanmoins, en dépit de ces incohérences grossières et de ces anomalies qui auraient dû l’inciter à douter de sa provenance, M. [W] a cliqué sur le lien inclus dans le mail, ce qui apparaît comme une particulière négligence, y compris de la part d’un particulier normalement attentif.

Il doit donc être considéré que cette négligence fautive est à l’origine des virements frauduleux effectués par un tiers deux et trois jours après.

Contrairement à ce qu’a retenu le premier juge, l’utilisation d’un logo n’oblige pas l’établissement bancaire à prendre en charge l’intégralité des conséquences du phishing, sauf à faire peser les conséquences des agissements d’escrocs sur un tiers à l’escroquerie.

De surcroît, il est démontré par les pièces produites qu’en l’espèce M. [W] a bien reçu deux SMS. Si celui-ci affirme ne pas avoir répondu à ces deux SMS et conteste avoir validé l’ajout d’un nouveau bénéficiaire, il apparaît sur les enregistrements sur support informatique que les identifiant et mot de passe personnels du service en banque en ligne de M. [W] ont bien été saisis et que les codes reçus par SMS ont été composés afin d’ajouter le bénéficiaire des opérations et effectuer les virements litigieux.

Au demeurant, M. [W] aurait pu également légitimement s’interroger sur la réception de ces messages et leur contenu puisque le bénéficiaire portait le même nom que lui.

Enfin, le document d’identification mentionne deux virements non contestés effectués le 12 avril 2020 à destination du même compte bancaire.

Il ne peut donc être reproché à l’établissement bancaire d’avoir exécuté une opération de paiement autorisée par le payeur, conformément à l’article L. 133-6 du code monétaire et financier.

À cet égard, contrairement à ce qu’a retenu le premier juge sans fondement, le banquier qui exécute les ordres du client n’a pas de pouvoir d’appréciation sur les opérations demandées.

Ainsi, aucun manquement contractuel ne peut être reproché à la société La Banque Postale à une obligation de vigilance dès lors qu’elle n’est pas tenue de s’immiscer dans les opérations financières ou commerciales à l’origine des mouvements de fonds dont elle assure l’exécution. Ainsi, elle ne saurait être tenue au remboursement des virements litigieux et la particulière négligence de M. [W] est de nature à exonérer la banque de toute responsabilité.

Télécharger cette décision

Q/R juridiques soulevées :

Quelle est l’obligation de sécurité à la charge du client selon le code monétaire et financier ?

L’obligation de sécurité à la charge du client est clairement définie dans les articles L. 133-16 et L. 133-17 du code monétaire et financier. Ces articles stipulent que l’utilisateur de services de paiement doit prendre toutes les mesures raisonnables pour garantir la sécurité de ses dispositifs de sécurité personnalisés.

Cela inclut l’obligation d’informer rapidement son prestataire de services de paiement en cas d’utilisation non autorisée de son instrument de paiement ou des données qui lui sont associées. Cette responsabilité vise à protéger à la fois l’utilisateur et le prestataire contre les fraudes et les abus.

Comment se fait le renversement de la charge de la preuve en cas de contestation d’une opération de paiement ?

Le renversement de la charge de la preuve est un principe important dans le cadre des litiges liés aux opérations de paiement. Selon les articles L. 133-19 IV et L. 133-23, c’est au prestataire de services de paiement de prouver que l’utilisateur, qui conteste avoir autorisé une opération, a agi de manière frauduleuse ou a négligé ses obligations de manière grave.

Il est essentiel de noter que cette preuve ne peut pas être déduite uniquement du fait que l’instrument de paiement a été utilisé. Le prestataire doit également démontrer que l’opération a été authentifiée et correctement enregistrée, sans déficience technique.

Quelles sont les conséquences des virements effectués par négligence ?

Dans le cas des virements litigieux, il a été établi que M. [W] a effectué deux virements de 3 000 euros en avril 2020, suite à un email suspect. Bien qu’il ait reçu un email prétendument de LA BANQUE POSTALE, plusieurs éléments auraient dû éveiller ses soupçons, tels que le nom de domaine et l’incohérence de l’objet du mail.

Malgré ces signaux d’alerte, M. [W] a cliqué sur le lien dans l’email, ce qui constitue une négligence. Cette négligence est considérée comme la cause des virements frauduleux, et la banque ne peut pas être tenue responsable des conséquences de cette négligence.

Quel est le rôle de l’établissement bancaire dans l’exécution des ordres de paiement ?

L’établissement bancaire, en l’occurrence La Banque Postale, n’a pas de pouvoir d’appréciation sur les ordres de paiement qu’elle exécute. Selon l’article L. 133-6 du code monétaire et financier, la banque doit exécuter les opérations de paiement autorisées par le client.

Ainsi, si le client a donné son accord pour un virement, la banque ne peut pas être tenue responsable des conséquences de cette opération, même en cas de fraude. La négligence du client dans la protection de ses informations personnelles exonère la banque de toute responsabilité dans ce contexte.

Quelles preuves peuvent être apportées pour contester une opération de paiement ?

Pour contester une opération de paiement, il est déterminant de fournir des preuves tangibles. Dans le cas de M. [W], bien qu’il ait affirmé ne pas avoir validé l’ajout d’un nouveau bénéficiaire, les enregistrements informatiques ont montré que ses identifiants et mots de passe avaient été utilisés pour effectuer les virements.

De plus, il a reçu des SMS de confirmation, ce qui aurait dû l’inciter à s’interroger sur la légitimité de ces messages, surtout que le bénéficiaire portait le même nom que lui. Ces éléments de preuve sont déterminants pour établir la responsabilité dans les litiges liés aux fraudes bancaires.